Détection d'intrusions en environnement haute performance

Transcription

1 Symposium sur la Sécurité des Technologies de l'information et des Communications '05 Détection d'intrusions en environnement haute performance Clusters HPC Fabrice Gadaud 1

2 Sommaire Caractéristiques d'un Cluster HPC High Performance Computing Problèmes de sécurité Limitations Exemples de détections d'intrusions adaptées Avantages de l'environnement Orientations 2

3 CEA/DIF Centre de calcul Européen acteur majeur de la simulation numérique promoteur des architectures HPC partenariats avec EDF, SNECMA, ONERA,... participations à des groupes de travail académiques industriels compétences de renommée internationale codes de calcul maîtrise de la technologie Tera 10: 50+ Tflops, plus gros calculateur Européen parmi les 5 machines de calcul les plus puissantes au monde participe à la force de dissuasion nucléaire française 3

4 Architectures monolithiques Classique uni processeur SMP/NUMA MEM CPU Mémoire CPU Interface réseau I/O Disk Net Disque 4

5 Cluster HPC Réseau d'administration (~1Gb/s) Ordonnanceur Mémoire partagée Switch Réseau d'interconnexion (~10Gb/s) Stockage distribué 5

6 Rôles Calculs Entrées Sorties Stockage 6

7 Couches Spécificités couche applicative «middleware» réseau de passage de messages Applications MiddleWare Scientific Applications, System Tools, Management/Monitoring MPI, PVM, Networked File Systems (Lustre, NFS, OpenGFS,...) Operating System Tru64, HP-UX, Solaris, LINUX Network Quadrics, Myrinet, InfiniBand 7

8 Problèmes de sécurité système sensible concentration très importante de ressources (CPU + NET) exécution de tâches critiques homogénéité cycles longs de mise à jour problématique des systèmes partagés confidentialité intégrité disponibilité concernant les IDS: intrusions externes menaçant le système attaques «classiques» à l'échelle du cluster, destruction de données, atteinte à la disponibilité,... intrusions internes, plus furtives collecte d'informations, exploitation de failles, falsification,... 8

9 Limitations Impacts sur les ressources à considérer (caractéristiques principales conditionnant l'efficacité d'un cluster) CPU (vol de cycles, changement de contextes,...) bande passante CPU < > MEM bande passante Noeud < > Noeud latence (temps moyen d'envoi d'un message) disponibilité Adéquation des solutions existantes Réseaux (d'une dizaine à quelques milliers de noeuds) WAN: débits et volumes LAN: latences (quelques micro secondes) et topologie Systèmes de sécurité au niveau noyau perturbent le noeud (effets micro et macro scopiques) ne passent pas à l'échelle 9

10 Limitations (architecture) Modèle simple de description des performances: LogP Variables du systèmes: P: nombre de processeurs o: surcharge processeur, due à une communication g: interval minimal entre 2 envois de messages L: latence de communication Variables définies sur un temps : C: temps de calcul pur a: nombre de messages broadcast et reduce M: temps total d'accès à la mémoire s: nombre de messages point à point avec s tau.l g et a L [ P 1. g] : impact moyen '= surcharge '=C a s. o 1.[ M 2 L. a. P 1 s ] l'accès à la mémoire est dégradé l'impact augmente avec le nombre de processeurs 10

11 Infrastructure adaptée aux réseaux Architecture de traitement des données HPC capacités d'enregistrement / analyse élevées «scalable» et utilisation d'équipements similaires à ceux du cluster éclatement du processus de détection classique ré utilisation de solutions pour architecture mono processeur Raw data Data Load-Balancing Analysis Load Balanced TAP Cluster Networks Switch Events/Alarms Collector Sensor Loggers (buffers) Frontals CPU Nodes I/O IDS Cluster 11

12 Infrastructure adaptée aux systèmes Vérification d'une politique de sécurité segmentation suivant de grands «pôles» répartition de la charge de sécurisation NET MEM CPU I/O points particuliers éviter les vérifications sur des appels très fréquents et sans intérêt 12

13 Exploitation de l'architecture Avantages: le système repose sur les réseaux, les programmes sont couplés l'environnement est restreint (applications, protocoles, topologie,...) environnement statistiquement intéressant: entités identiques effectuant des opérations similaires participation à l'effort de monitoring, statistiques, qualité de service (données relativement similaires) Instrumentation adaptée à l'architecture rôles: récupérer l'information là où elle coûte le moins ordonnanceur: coupler les informations provenant du manager de jobs avec les processus s'exécutant sur chaque noeud système de fichiers distribué: requêtes sur les noeuds I/O et index middleware: données échangées de «noeud à noeud» et exécution de sous programmes par l'utilisateur (MPI 2) OS: alarmes ponctuelles sur noeuds (accès à des fichiers locaux particuliers d'un noeud local, segmentation faults,...) 13

14 Instrumentation générale d'un cluster I D S 14

15 Conclusion Les solutions actuelles ne passent pas à l'échelle Environnement restreint nombre d'applications limité quelques protocoles réseau utilisés caractéristiques statistiques intéressantes Détection d'intrusions HPC (relativement à celle dite «classique») plus de points de mesure prise en compte de l'impact sur les performances exploitation de l'environnement, régi par des règles implicites recherche d'incohérences entre les informations issues des réseaux, de l'environnement d'exécution des noeuds, du système de fichiers, la couche applicative, et l'ordonnanceur Réutilisation de certains logiciels disponibles, non dédiés Développement de systèmes de monitoring adaptés à l'architecture Développement de méthodes dédiées au système distribué 15

16 Merci Questions? 16